L'uomo in mezzo con certificato firmato da CA noto e DNS spoofing può funzionare?

Question

L'uomo in mezzo con certificato firmato da CA noto e DNS spoofing può funzionare?

#1 da (4 voti)

1

Supponendo di avere un certificato per il mio server web locale firmato da una ben nota CA come Verisign (quindi sarà attendibile dai browser), e sono in grado di avvelenare DNS in Man-in-the-Middle per reindirizzare un utente che vuole andare a google.com sul mio server web locale che ha lo stesso hostname google.com , quali saranno le conseguenze?

C'è un rischio? Se sì, come prevenirlo?

Non so perché il pinning SSL sia usato solo per le app per dispositivi mobili. Se l'attacco sopra funziona, quindi il blocco SSL può essere una prevenzione. Ma non è usato sul computer ...

dns tls man-in-the-middle certificate-authority

posta Duke Nukem 04.06.2016 - 01:15

fonte

1 risposta

Leggi altre domande sui tag dns tls man-in-the-middle certificate-authority

È necessario un certificato firmato da una CA SSL quando ci si collega con l'indirizzo IP? In che modo la lista nera di un IP che utilizza un firewall protegge dagli attacchi DDoS?

score 4 · Accepted Answer

Affinché ciò avvenga, il nome host del server deve corrispondere al nome del certificato. Ciò significa che dovresti ottenere una CA per emettere un certificato come google.com (non probabile che accada) o dovresti ottenere un certificato di origine da una CA che controlli e installare sul computer dell'utente come certificato CA attendibile .

Anche in questo caso, molti siti Web di grandi dimensioni utilizzano pinning della chiave pubblica che costringe il browser ad accettare solo un certificato specifico fino a una data di scadenza prestabilita. Sia Chromium che Firefox supportano il pinning.